Обзор уязвимостей за прошедшую неделю (16-22 августа)

Дата: 23.08.2021. Автор: Артем П. Категории: Новости по информационной безопасности, Уязвимости
Обзор уязвимостей за прошедшую неделю (16-22 августа)

Предлагаем ознакомиться с небольшим обзором уязвимостей за прошедшую неделю. В центре внимания: Realtek, Fortinet, Kalay, Google, BlackBerry, Cisco, Adobe Photoshop, Razer, WordPress.

В SDK, которые поставляются компанией Realtek предприятиям, использующим её чипы RTL8xxx, обнаружено более 10 серьёзных уязвимостей. Эксплуатация ошибок может привести к отказу в обслуживании (DoS) и внедрению команд со стороны киберпреступников.

Компания Fortinet заявила, что исправит ранее обнаруженную в брандмауэре веб-приложений FortiWeb (WAF) уязвимость нулевого дня до конца августа 2021 года. При успешной эксплуатации ошибки аутентифицированные киберпреступники могут выполнять произвольные команды от имени пользователя root в базовой системе через страницу конфигурации сервера SAML.

В протоколе Kalay, который используется для подключения и связи IoT-устройств, обнаружена критическая уязвимость, имеющая оценку опасность 9,6 из 10. Проблема безопасности затрагивает IoT-продукты различных производителей, поставляющих решения для видеонаблюдения, системы домашней автоматизации IoT.

Корпорация Google объявила об исправлении 9 уязвимостей безопасности в браузере Chrome, которые были актуальны в версиях для Windows, Mac, Linux. Семь уязвимостей были выявлены сторонними ИБ-экспертами.

Американское Агентство кибербезопасности и безопасности инфраструктуры (CISA) заявило об обнаружении уязвимости BadAlloc в продуктах BlackBerry. Уязвимое ПО BlackBerry установлено почти в 200 млн. автомобилей, в тысячах промышленных устройств управления.

Компания Adobe выпустила предупреждение об обнаружении двух критических уязвимостей в Photoshop. В компании сообщили, что уязвимости, оцененные как критические, подвергают пользователей как Windows, так и MacOS, атакам с удаленным выполнением произвольного кода.

Компания Cisco не собирается исправлять RCE-уязвимость нулевого дня в VPN-маршрутизаторах с истёкшим сроком службы. Ошибка нулевого дня (отслеживается как CVE-2021-34730 и имеет рейтинг 9,8/10) вызвана неправильной проверкой входящего UPnP-трафика.

В первые шесть месяцев 2021 года выявлено более 600 уязвимостей АСУ ТП. Ошибки были обнаружены в продуктах 76 производителей. 70% из них являются «критическими» или «серьёзными».

Обнаружена уязвимость нулевого дня, позволяющая получить права администратора Windows, просто подключив мышь или клавиатуру Razer. В установочном пакете для ПО Razer Synapse есть ошибка plug-and-play, которая позволяет быстро получать системные привилегии на устройстве Windows.

Корпорация Google раскрыла подробности ещё неисправленной уязвимости Windows AppContainer. Также было сообщено, что ошибка всё-таки будет устранена, хотя в Google ранее отказались это делать.

Уязвимость плагина SEOPress WordPress потенциально подвергает рискам атак более 100 тыс. сайтов. При эксплуатации ошибки злоумышленники могут внедрить произвольные скрипты на целевые сайты и полностью захватить ресурс.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *